CVE-2026-16072 in Keycloak
الملخص
بحسب VulDB • 18/07/2026
تم العثور على ثغرة في مكون إدارة المنظمات في Keycloak. يمكن لمدير مفوض لديه صلاحية إدارة المنظمات إنشاء دعوة لعنوان بريد إلكتروني غير موجود، ثم استرداد رابط التسجيل السري مباشرةً عبر واجهة برمجة التطبيقات (API). باستخدام هذا الرابط، يستطيع المدير إنشاء حسابات مستخدمين جديدة وإضافتها إلى المنظمة دون الحاجة إلى صلاحيات إدارة المستخدمين المطلوبة أو الوصول إلى حساب البريد الإلكتروني المدعو. يتيح ذلك للمدير تجاوز حدود الأمان وإضافة أعضاء غير مصرح لهم إلى المنظمة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.